「ガイドライン」についてお勉強しています。そもそも法律とガイドラインの違いとは何でしょうか。ガイドラインに反する行為なのに、法律上は問題ない、ということはあるのでしょうか。まず、ガイドラインの定義について調べます。少し前の資料ですが、以下に総務省がNTTデータ経営研究所にまとめさせたものがあります。

「国の行政機関が公表したガイドライン等の実態把握のための調査研究報告書」

http://www.soumu.go.jp/main_content/000424429.pdf

　この資料の記述を抜粋しますと「ガイドラインとは法令そのものではないものの、一般的にはガイドライン作成者が示す「内容」（基準や解釈や事例等）に準じた対応を行うことを、相手方に「求める」ために策定される文書」とあります。つまり個人情報の保護に関する法律についてのガイドラインの場合は、委員会が事業者に対して示す指針ということですね。難しくて解釈が分かれやすい法文を、行政が対象者の為に噛み砕いて判り易くしたもの、と私は解釈しています。

　ここで、個人情報保護委員会が策定したガイドラインの例を以下に示します。

①（通則編）

②（外国にある第三者への提供編）

③（第三者提供時の確認・記録義務編）

④（匿名加工情報編）

⑤個人データの漏えい等の事案が発生した場合等の対応について

さらに、Q&Aも公開されています。

「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A

このQ&Aの1-45-2に、官報に関するものが追加されているのは既にご存知かと思います(今日はこの話題ではありませんので触れません)。各ガイドラインの目的の項に、以下のような文章が記載されています。

「本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。」

　ここで個人的な意見です。この書き方が良くないのではないかと。「法違反と判断される可能性がある」と書かれると、「じゃあ判断されない可能性もあるのだな？」と思う人もたぶんそれなりにいるわけです。私は実際はそんなことはないと思っています。従わなかった場合は99.9％法違反と判決を貰うことになると考えています。それもガイドラインを根拠としての有罪判決です。この曖昧に思える記述は、法が全く想定していないような特殊な事例が起きる可能性を否定できないことに加え、法違反は最終的には司法が判断する故「違反である」ではなく「違反と判断される可能性がある」と書かざるを得ないだけではないでしょうか。そのような説明がないまま「可能性がある」などと書いてしまうから、「逆の可能性もまたある」と誤解され勝手な判断をする人が後を絶たないように思えて仕方がありません。きっと「外様」で「本業」でない人ほどそういう間違いを犯すのではないかと思っています。ガイドラインですらそんなですから、それより下位のQ&Aにたった一つ事例を加えからといって、委員会にはそれで仕事をした気にならないでいただきたいです。ひっそりと資料を更新するだけで皆がそれを守るようになるほど、委員会の存在が注目されていると思っているのなら大間違いです。再犯を全く抑止できなかった現状をしっかり把握したうえで、今度は効果のある対策を打って欲しいと考えます。